入侵检测技术是一种主动保护网络资源免受黑客攻击的安全技术.该文首先讲述了入侵检测技术的发展状况和关键技术,对现有系统进行了分类,并说明了现有IDS的不足以及今后ID技术的发展趋势. 网络的攻防离不开对网络底层通讯的直接操作.TCP/IP协议作为Internet的基础协议和核心,是网络入侵检测系统研究的对象.该文对TCP/IP协议进行了概述,着重探讨了TCP/IP协议的安全性能,并概览了当前主要的网络攻击. 在此基础上,针对当前入侵检测技术的不足,提出了一个基于自组织特征映射神经网络SOM的层次化分析模型,并以此模型为基础构建了一个基于网络的实时入侵检测系统.在线检测时数据采集采用支持Win32平台的网络数据包截取驱动软件WinpCap. 该系统由于采用了神经网络技术,具有较高的检测率和实时性,克服了传统的入侵检测系统在入侵检测的效率和实时性要求两者之间难以权衡的弱点;神经网络模块采用层次化结构,检测粒度小,与传统的基于神经网络的分析技术相比,更易于扩展.另外,该系统采用异常检测技术,能发现已知和未知的攻击,改进了基于误用检测技术的IDS只能发现己知攻击的缺陷.